Dies ist der zweite in einer Reihe von Beiträgen, in denen die verschiedenen Ansätze zum Schutz von Krypto-Vermögenswerten untersucht werden. Im ersten Beitrag haben wir unsere Methode erläutert und uns den häufigsten Angriffsvektor - den physischen Zugang - angesehen. Dieser Beitrag geht auf die anderen, ausgefeilteren Vektoren ein, die verwendet werden könnten, um unautorisierten Zugang zu einem privaten Schlüssel und dem darin enthaltenen Vermögenswert zu erhalten. Wir werden auch verschiedene Systeme betrachten, die Schutz vor dem Ausfall des Speichermediums bieten.
Wir haben Multisignatur-, Multi-Party-Computation und Hardware-Sicherheitsmodule miteinander verglichen, um herauszufinden, welches Modul am besten geeignet ist, um Krypto-Währungen und Vermögenswerte zu sichern und gleichzeitig die betrieblichen, kommerziellen und regulatorischen Anforderungen zu erfüllen. Dies ist Teil II in unserer Serie von Blogs.
Die jüngste Enthüllung von Plundervolt hat gezeigt, dass die Angriffe über den Seitenkanal auch in vermeintlich sicheren Enklaven möglich sind. Diese Software-Schwachstellen ermöglichen es Angreifern, durch Manipulation oder Beobachtung der physikalischen Eigenschaften von Hardware das zu extrahieren, was sicher gespeichert werden sollte - und dazu gehören auch private Schlüssel.
Die Mehrfachsignatur erschwert diese Art von Angriffen auf offensichtliche Weise - es würde Hacker erfordern, ihre Angriffe erfolgreich auf mehrere Maschinen potenziell unterschiedlicher Art durchzuführen, die vermutlich an verschiedenen Orten platziert sind. Wenn mindestens eines der Autorisierungsgeräte an einem physisch getrennten Ort offline ist, wird das Risiko praktisch auf Null reduziert, aber das geht auf Kosten der Skalierung und der Transaktionsgeschwindigkeit.
Dasselbe gilt für sichere Multi-Party-Computing-Lösungen (SMPC), die jedoch einen zusätzlichen Vorteil haben: Das gemeinsame Schlüsselmaterial wird regelmässig nach dem Zufallsprinzip rotiert, so dass ein hochgradig koordinierter Aufwand erforderlich wäre, um einen solchen Angriff erfolgreich durchzuführen.
Hardware-Sicherheitsmodule (HSMs) sind natürlich so aufgebaut, dass sie genau solche Angriffe verhindern, insbesondere die Primus-HSMs von Securosys. Wir haben uns mit der HSR zusammengetan, um Seitenkanalangriffe zu erforschen. Als Ergebnis unserer mehrjährigen Bemühungen sind unsere HSMs nun in der Lage, wirksame Gegenmassnahmen gegen solche Angriffe zu implementieren.
Im nächsten Abschnitt werden wir einen Blick auf Seitenkanalangriffe, Randomisierungsschwäche und Quantenschutz werfen.
Auch wenn die für die Erzeugung von Cryptocurrency-Schlüsseln erforderliche Byte-Grösse es statistisch unmöglich macht, zwei identische Schlüssel zu erzeugen, sind Computer bei der Erzeugung echter Entropie (Zufälligkeit) bekanntermassen unzuverlässig. Ein entsprechend engagierter Angreifer könnte diese Schwäche der Software-Zufälligkeit ausnutzen, um einen privaten Schlüssel erfolgreich zu replizieren.
Andere Softwarelösungen für Unternehmen, die entweder auf der Mehrfachsignatur- oder Multi-Party-Berechnung basieren, können dieses Problem überwinden, indem sie eine besser skalierbare Entropiequelle für die Schlüsselerzeugung integrieren. Um jedoch einen Man-in-the-Middle-Angriff zu verhindern, müssen sie den Integrationskanal zwischen der Quelle und der Software, die den Schlüssel generiert, sicher halten.
Auch hier handelt es sich um einen Bereich, in dem sich selbst die "einfachen" HSMs durch ihr Design auszeichnen - schliesslich war dies ihr ursprünglicher Zweck. Wie von den Best-Practice- und Zertifizierungsanforderungen in der Branche gefordert, die typischerweise mehrere Quellen von Hardware-Entropie umfassen, die sicher in den Schlüsselerzeugungsteil des Moduls integriert sind, können HSMs sogar Angriffe auf die Integrationsarchitektur verhindern.
Eine weitere potentielle Gefahr für aktuelle kryptographische Algorithmen geht von den Versprechungen des Quantencomputers aus, mit dem es bald möglich sein könnte, den privaten Schlüssel aus dem öffentlichen Schlüssel zu berechnen.
Die Software von Cryptocurrency Wallets geht damit auf natürliche Weise um, indem sie der mit Bitcoin etablierten Praxis und der Absicht ihres Erfinders bzw. ihrer Erfinder folgt: Es wird nur eine Adresse verwendet, die ein (Doppel-)Hash des öffentlichen Schlüssels in Verbindung mit dem privaten Schlüssel des Assets ist. Da solche Software in der Regel in allen Multisignatur- und SMPC-Anwendungen vorhanden ist, sind sie trotz ihrer anhaltenden Anfälligkeit für andere natürlich robust gegenüber diesem Angriffsvektor.
Legacy-HSMs schützen vor physischen, Seitenkanal- und Randomisierungsschwachstellen. Allerdings setzen sie ihre Betreiber dieser Art von Angriffen aus. Das liegt daran, dass sie vom Betreiber verlangen, einen potenziell quantenanfälligen öffentlichen Schlüssel abzurufen. Dieser öffentliche Schlüssel ermöglicht es der Business-Anwendung dann, eine mit dem Asset-Schlüssel verbundene Adresse zu generieren und zu verwenden.
Die HSMs von Securosys beheben diese potenzielle Schwachstelle, indem sie den Entwicklern erlauben, die Adresse erst nach der ersten Signatur mit dem privaten Schlüssel zu exportieren. Auf diese Weise wird der öffentliche Schlüssel der in den HSMs erstellten und aufbewahrten Schlüssel erst dann offengelegt, wenn das Asset zurückgezogen wurde, wodurch der Schlüssel wertlos wird.
Der Verlust des Zugangs zu seinen Schlüsseln ist ebenso katastrophal wie deren Diebstahl oder Kompromittierung - es bedeutet, dass man praktisch das Gleichgewicht der Kryptowährung verliert.
Traditionelle Lösungen mit mehreren Unterschriften führen verschiedene Methoden zum Schutz gegen den Verlust von Schlüsselmaterial ein. Das Glacier-Protokoll und ähnliche Konzepte empfehlen die Verwendung eines ausreichend niedrigen Quorum-zu-Gruppen-Verhältnisses (z.B. 2/5) mit georedundanten Papier-Wallets, die an physisch geschützten Orten aufbewahrt werden. Während dies als Schutz vor physischen Schäden wohl akzeptabel ist, ist es wiederum sehr schwer zu skalieren und nur für einzelne Halter sinnvoll. Andere Ansätze könnten eine stärker automatisierte digitale Sicherung der Schlüssel beinhalten. Alle diese haben jedoch eines gemeinsam - sie erhöhen das Risiko, dass die Schlüssel linear mit der Anzahl der Orte in Kontakt kommen, an denen Kopien desselben Schlüssels oder mehrerer Schlüssel mit mehreren Unterschriften aufbewahrt werden.
Da die Multi-Party-Berechnung einen einzigen Schlüssel aufteilt, ist es ausreichend, das Schlüsselmaterial im Falle des Verlusts eines erforderlichen Quorums einfach zu sichern. Dies führt jedoch wiederum einen zusätzlichen Angriffspunkt für das Schlüsselmaterial ein, das physisch geschützt werden muss.
Obwohl HSMs der Spitzenklasse Datenspeicherung mit viel höheren Zuverlässigkeitsstandards als traditionelle Server oder PCs verwenden, kann ihr potenzieller Ausfall dennoch nicht ausgeschlossen werden. Sie müssen durch Redundanz oder regelmässige Backups geschützt werden, sind aber auch berüchtigt für eine sehr komplizierte, nicht skalierbare Redundanzanordnung. Securosys HSMs lösen dieses Problem durch die Einführung eines nahtlosen Redundanz-Setup-Prozesses. Dies beinhaltet eine hochsichere physische Erstkopplung unter Verwendung eines Master-Slave-Modells mit bis zu 64 Geräten sowie eine verschlüsselte Synchronisierung in Echtzeit und von Ende zu Ende.
In den folgenden Beiträgen werden wir verschiedene Methoden der Transaktionsautorisierung untersuchen. Wir werden uns auch mit den geschäftlichen und regulatorischen Überlegungen sowie den Kompromissen, die mit diesen Ansätzen verbunden sind, und der jeweiligen Erfahrung der Entwickler befassen.
Mehr Informationen zu diesem Thema erhalten Sie in unserem Whitepaper.